Problem mit $_SESSION und Frames

[jotka]

Hallo,

mit Frames habe ich auf verschiedenen Installationen ein unterschiedliches Verhalten bekommen, das ich mir nicht erklären kann:

In der Framesetdatei setze ich eine Session-Variable.
Im ersten Frame verwende ich sie.
Im zweiten Frame verwende ich sie ebenfalls.

Ergebnis: Auf zwei Installationen mit php-Versionen 4.3.1 bzw. 4.3.4 bekomme ich auch im zweiten Frame den korrekten Wert.
Auf einer 4.3.3-Installation funktioniert das nur dann, wenn es im ersten Frame keine "normale" Variable gleichen Namens gibt.

Mein Fragen:

• Liegt das wirklich an den php-Versionen? Oder an was sonst?

• Hat jemand eine Idee, wie ich das auch im Problemfall hinbekomme?

Die Beispieldateien habe ich unten als abgestrippte Testversion aufgelistet, ebenso meine Testergebnisse.
Der oben beschriebene Unterschied für die 4.3.3-Installation tritt auf, je nachdem die include()-Zeile in header.php auskommentiert ist oder nicht.

Allerbesten Dank für jeden Tip, denn das Problem nervt wirklich!

jotka

-------------------------------

/************ Datei index.php ************/

Code:

<?php
	function addSid() {
		if(!ini_get('session.use_trans_sid')) echo '?', SID;
	}

	include('lang.inc');

	ini_set('session.use_cookies', '0');
	session_start();
	$_SESSION['lang'] = 'en';  // ***** Setzen der Sessionvar. *****
	session_write_close();
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN">
<html>
<frameset rows="60,*" frameborder="0" framespacing="0" border="0">
	<frame src="header.php<?php addSid(); ?>" name="Header" />
	<frameset cols="160,*" >
		<frame src="menu.php<?php addSid(); ?>" name="Menu" />
		<frame name="Main" />
	</frameset>
	<noframes><?php echo $lang['noFrames']; ?></noframes>
</frameset>
</html>

/************ Datei header.php ************/

Code:

<?php
	ini_set('session.use_cookies', '0');
	session_start();

	//include('lang.inc'); // ***** problematische Zeile! *****
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<body>
	<h2>Header; Language: <?php echo $_SESSION['lang']; ?></h2>
</body>
</html>

/************ Datei menu.php ************/

Code:

<?php
	ini_set('session.use_cookies', '0');
	session_start();
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<body>
	<div>$_SESSION['lang']:<br />
		// ***** Lesen der Sessionvar. *****
		<?php var_dump($_SESSION['lang']); ?>
	</div>
</body>
</html>

/************ Datei lang.inc ************/

Code:

<?php
	$lang  = array();
	$lang['lang']     = 'en';
	$lang['noFrames'] = 'Your browser must support frames!';
?>

/************ Meine Testergebnisse ************/

Unter 4.3.1, 4.3.4, sowie unter 4.3.3 mit auskommentiertem include() steht im zweiten Frame:

$_SESSION['lang']:
string(2) "en"

Unter 4.3.3 mit aktivem include():

$_SESSION['lang']:
array(2) {
["lang"]=> string(2) "en"
["noFrames"]=> string(33) "Your browser must support frames!"
}

In letzterem Fall enthält die Session also fälschlich nicht den hineingeschriebenen Wert, sondern den Wert der Variable $lang aus dem ersten Frame!

[|Coding]

ist bei deiner 4.3.3 version in der php.ini register_globals auf off? wenn nicht, dann ändere das mal auf off.

[jotka]

Zitat:

Zitat von |Coding

ist bei deiner 4.3.3 version in der php.ini register_globals auf off?

Ja, das war der Grund. Leider habe ich auf die 4.3.3-ini keinen Zugriff; aber der umgekehrte Versuch (On-schalten in der 4.3.1) lieferte denselben Fehler.

Gibt's für dieses Verhalten irgendwo eine Erklärung? Logisch erscheint mir das nämlich nicht, denn egal ob register_globals an ist, sollte doch $_SESSION nur das enthalten, was wirklich in der Session ist...

Bin mal gespannt, ob ich den 4.3.3-Admin zum Ändern überreden kann. Wenn nicht, bleibt mir wohl nur, die Sessionvariable im ganzen Projekt umzubenennen. Seufz!
Oder gibt es vielleicht noch eine andere Methode? ($HTTP_SESSION_VARS statt $_SESSION zu verwenden bringt nichts, das habe ich schon ausprobiert.)

Tausend Dank! und Gruß

jotka

[|Coding]

du solltest register_globals auf keinen fall auf on stellen, das ist sicherheitstechnisch ein problem.

das problem besteht, also auch wenn register_globals auf off steht, habe ich dich da richtig verstanden?

[jotka]

Zitat:

Zitat von |Coding

du solltest register_globals auf keinen fall auf on stellen, das ist sicherheitstechnisch ein problem.

Ja, ist mir bekannt, deshalb ist es dort, worauf ich Zugriff habe, auch off. Das Umstellen in der 4.3.1 war nur vorübergehend (und offline :-), um herauszufinden, ob's daran lag.

Zitat:

Zitat von |Coding

das problem besteht, also auch wenn register_globals auf off steht, habe ich dich da richtig verstanden?

Nein: In den Off-Versionen funktioniert's bestens.

[|Coding]

sorry jetzt hab ich den faden verloren...
auf was steht register_globals denn dort, wo du die sessions nutzt (online)?

[jotka]

Offline (4.3.1): Normalerweise Off, nur zum Testen gerade eben mal On. --> funktioniert nur erwartungsgemäß, wenn Off.

Online I (4.3.3): On --> funktioniert nicht.
Online II (4.3.4): Off --> funktioniert.

[|Coding]

ok, verstanden.
nötige deinen admin mal dazu, das er register_globals auf off setzt, oder wenn du .htaccess files nutzen kannst dann regel es doch so:

leg eine .htaccess mit folgendem inhalt in dein root directory:

php_flag register_globals off

dann brauchst du nicht deinen admin, anbetteln :-)

[jotka]

Hallo |Coding,

das mit dem .htaccess hat leider (noch?) nicht geklappt: auch da scheint sich der Server zu sperren. Ich versuche weiterhin, den Admin zu Änderungen zu animieren oder sonst eine Lösung zu finden.

Jedenfalls nochmal ganz herzlichen Dank!, der Tip mit dem register_globals war goldrichtig.

Gruß

jotka

[|Coding]

ich an deiner stelle würde dem admin mal in den popo klicken, kann doch nicht angehen das er es den kunden zumutet mit register_globals on zuarbeiten. ich hoffe du zahlst dafür nicht auch noch geld...